Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 5259 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Portscan detected!!!

mordy
Hallo Gemeinde!

Ich habe da mal eine interessante Entdeckung gemacht. Seid der letzen 2 Tage bekomme ich von meiner Astaro 320 immer wieder gemeldet, das ein Portscan "detected" wurde [:O] und zwar sieht das Ganze so aus: 


A portscan was detected. Details about the event:



Time.............: 2008:08:15-13:15:07



Source IP address: 66.117.41.20 (probe.cirn.net)

www.dnsstuff.com/.../ptr.ch

www.ripe.net/.../whois

ws.arin.net/.../whois.pl

cgi.apnic.net/.../whois.pl

        



-- 

System Uptime      : 17 days 4 hours 40 minutes

System Load        : 0.50

System Version     : Astaro Security Gateway 7.202



Please refer to the manual for detailed instructions.


Ich habe mal versucht genaueres über die besagte IP zu erfahren, jedoch ohne großen Erfolg.

Im Internet habe ich in einem amerikanischen Forum bereits einen Beitrag gefunden, bei dem jemand genau das gleiche beschreibt.

Da ich ja wenig dagegen tun kann, dass jemand versucht die Ports der Firewall zu scannen, wollte ich aber dennoch einmal hier im Forum fragen, ob Ihr ähnliches auch schon auf Euren Walls erlebt habt, bzw. wie Ihr auf solche Meldungen reagiert.

Viele Grüße und ein schönes Wochenende


This thread was automatically locked due to age.
  • 0
    Hi

    Auf heise.de gibts ein paar schicke Netzwerk-tools. Hier das Ergebnis:

    Gefundener whois-Eintrag von 66.117.41.20:

    Using server whois.arin.net.
    Query string: "66.117.41.20"


    OrgName:    Carpathia Hosting, Inc. 
    OrgID:      CARPA-3
    Address:    PO Box 2145
    City:       Ashburn
    StateProv:  VA
    PostalCode: 20146
    Country:    US

    ReferralServer: rwhois://rwhois.carpathiahost.com:4321

    NetRange:   66.117.32.0 - 66.117.63.255 
    CIDR:       66.117.32.0/19 
    NetName:    CIRN-NETBLOCK01
    NetHandle:  NET-66-117-32-0-1
    Parent:     NET-66-0-0-0-0
    NetType:    Direct Allocation
    NameServer: DNS1.CARPATHIAHOST.COM
    NameServer: DNS2.CARPATHIAHOST.COM
    Comment:    rwhois://rwhois.carpathiahost.net:4321
    RegDate:    2003-10-20
    Updated:    2007-04-11

    OrgAbuseHandle: CHAP-ARIN
    OrgAbuseName:   Carpathia Hosting, Abuse POC 
    OrgAbusePhone:  +1-703-740-1730
    OrgAbuseEmail:  abuse@carpathiahost.com

    OrgTechHandle: CHIA-ARIN
    OrgTechName:   Carpathia Hosting, IP Administration 
    OrgTechPhone:  +1-703-740-1730
    OrgTechEmail:  ipadmin@cirn.net

    # ARIN WHOIS database, last updated 2008-09-02 19:10
    # Enter ? for additional hints on searching ARIN's WHOIS database.


    Found a referral to rwhois.carpathiahost.com:4321.

    Using server rwhois.carpathiahost.com.
    Query string: "66.117.41.20"

    %rwhois V-1.5:003eff:00 rwhois.carpathiahost.com (by Network Solutions, Inc. V-1.5.7.3)
    network:Auth-Area:66.117.32.0/19
    network:Class-Name:network
    network:ID:NETBLK-66.117.41.0/26
    network:Network-Name:NET-66-117-41-0-26
    network:IP-Network:66.117.41.0/26
    network[:$]rg-Name:Carpathia Hosting, Inc
    network:Street-Address:21711 Filigree Ct Suite A
    network:City:Ashburn
    network:State:VA
    network[[:P]]ostal-Code:20147
    network:Country-Code:US
    network:Tech-Contact;I:CHIA-ARIN
    network:Updated:20080417000000000
    network:Updated-By:hostmaster@cirn.net

    network:Auth-Area:66.117.32.0/19
    network:Class-Name:network
    network:ID:NETBLK-66.117.32.0/19
    network:Network-Name:NET-66-117-32-0-19
    network:IP-Network:66.117.32.0/19
    network[:$]rg-Name:Carpathia Hosting, Inc
    network:Street-Address:21711 Filigree Ct Suite A
    network:City:Ashburn
    network:State:VA
    network[[:P]]ostal-Code:20147
    network:Country-Code:US
    network:Tech-Contact;I:CHIA-ARIN
    network:Updated:20080417000000000
    network:Updated-By:hostmaster@cirn.net

    Solange das meine Maschine nicht irgendwie durcheinander bringt oder in stress bringt ist mir das völlig egal - dafür ist die Feuerwand doch da.

    Gruß Stefan
  • 0
    ich habe genau das selbe, allerdings auf eine Interne Adresse?
    A portscan was detected. Details about the event:

    Time.............: 2011:07:27-13:02:03

    Source IP address: 192.168.248.105 
    Where are my results?
    Query the RIPE Database
    http://ws.arin.net/cgi-bin/whois.pl?queryinput=192.168.248.105
    APNIC - Query the APNIC Whois Database

    -- 
    System Uptime      : 0 days 12 hours 0 minutes
    System Load        : 0.13
    System Version     : Astaro Security Gateway 8.200

    Wie könnte das zu verstehen sein?
  • 0 in reply to geoigeek
    Aufgrund der IP würde ich ja mal ganz stark auf eine Interne Maschine tippen.
    Wo steht denn die ASG (Firma / zu Hause)?
    Entweder ist das ein "mutwilliger" Angriff von Innen auf die Firewall oder ein False Positive. Ich würde mir den Rechner auf jedenfall mal genauer anschauen.

    Grüße

    Schroeder
Cookie Information Banner